S-ID-Check: Jetzt registrieren und weiterhin sicher online bezahlen

37
S-ID-Check

Wer sicher und problemlos im Web shoppen möchte, kommt seit dem 01.01.2021 bei Online-Zahlungen mit der Kreditkarte/Debitkarte von Mastercard und/oder Visa aufgrund gesetzlicher Anforderungen nicht mehr an dem sogenannten 3D-Secure-Verfahren vorbei. Dieses ist der aktuell höchste Sicherheitsstandard bei der Online-Kartenzahlung – ein Service Ihrer Bank bzw. Sparkasse und Ihres Kreditkartenherausgebers – und wird weltweit bei Online-Händlern eingesetzt. Bei Ihrer Sparkasse heißt das Verfahren S-ID-Check. Registrieren Sie sich jetzt, um weiterhin sicher online bezahlen zu können. Ihre Online-Kartenzahlungen bestätigen Sie künftig ganz einfach mit einer selbst vergebenen PIN oder einem biometrischen Merkmal.

Starke Kundenauthentifizierung

Die „Starke Kundenauthentifizierung“ ist ein vom Gesetzgeber vorgegebener Sicherheitsstandard für den europäischen Onlinehandel. Die EU-Richtlinie erfolgt im Rahmen der sogenannten Payment Services Directive-Europäische Zahlungsdienstrichtlinie („PSD2“). Sie verlangt die vollständige Umsetzung durch Handel, Banken und Netzbetreiber bis zum 31. Dezember 2020. 

Die PSD2 schreibt eine „Starke Kundenauthentifizierung“ vor, wenn Sie beispielsweise einen elektronischen Zahlungsvorgang auslösen. Die gesetzlichen Vorgaben werden nur dann erfüllt, wenn wenigstens zwei von drei möglichen Authentifizierungsmöglichkeiten herangezogen werden (Zwei-Faktor-Authentifizierung).

Die drei Möglichkeiten sind:
1. Wissen: z.B. ein Passwort
2. Besitz: z.B. eine Chip-Karte
3. Inhärenz: ein biometrisches Merkmal, wie z.B. ein Fingerabdruck

Was ist 3-D Secure bzw. der S-ID-Check?

S-ID-CheckDas Sicherheitsverfahren 3-D Secure wird von Visa als „Verified by Visa“ und von Mastercard als „Mastercard® Identity Check™“ betrieben. Es dient zur eindeutigen Identifizierung eines Karteninhabers bei Kreditkartenzahlungen im Internet.

S-ID-Check ist die Registrierungsplattform im Internet und die
gleichnamige App zur sicheren und rechtskonformen Zahlungsfreigabe für Online-Zahlungen. Über die App S-ID-Check wird bei teilnehmenden Händlern eine aktive Bestätigung angefordert, dass die gerade ausgelöste Zahlung ausgeführt werden soll. Dadurch, dass Kreditkarte, App und mobiles Endgerät (Smartphone oder Tablet) eindeutig verknüpft sind, ist eine noch größere Sicherheit gegeben, dass es sich bei dem Nutzer auch tatsächlich um den Karteninhaber handelt.

S-ID-Check: Die häufigsten Fragen

S-ID-Check

Wie funktioniert die Zahlung?

Bei einer Zahlung mit Kreditkarte erhalten Sie eine Push-Nachricht in Ihrer S-ID-Check App. Darin werden Sie dazu aufgefordert, die Zahlung entweder zu bestätigen oder abzulehnen. Dadurch wird sichergestellt, dass die Zahlungen ausschließlich durch Sie selbst genehmigt werden. Während des Registrierungsprozesses hinterlegen Sie Ihren Geräte-Code und optional Ihren Fingerabdruck oder die Gesichtserkennung. Hiermit werden die Zahlungen freigegeben und bieten Ihnen eine zusätzliche Sicherheit.

Wie verhält es sich bei Kreditkartenzahlungen im Laden?

Der S-ID-Check kommt ausschließlich bei Zahlungen im Internet zum Einsatz. Vor Ort beim Händler benötigen Sie die App nicht. Weitere Fragen und Anworten finden Sie hier.

Registrierung für den S-ID-Check mit Online-Banking-Zugangsdaten:

Laden Sie zunächst die App S-ID-Check auf Ihrem Smartphone oder Tablet herunter.

  • S-ID-CheckAndroid-Nutzer: Android 6 oder aktueller
  • iOS-Nutzer: iOS 11 oder aktueller

Falls Sie ein Android-Gerät mit Betriebssystem älter als 6.0 oder ein Apple-Gerät mit Betriebssystem älter als iOS 11 haben, erfolgt die Registrierung über die Website www.s-id-check.de.
Für die Registrierung benötigen Sie zudem Ihre Kreditkartennummer und Ihre Online-Banking-Zugangsdaten inklusive TAN-Medium (App oder ChipTAN Generator und registrierte Sparkassen-Card).

Registrierung für den S-ID-Check mit Aktivierungscode:

FAQs rund um den S-ID-Check finden Sie hier.

37 KOMMENTARE

    • Hallo Herr Roos,
      für die Registrierung zum S-ID-Check benötigen Sie ein Smartphone oder Tablet.
      Ohne eines dieser Geräte (es müssen auch nicht die teuersten und brandneusten sein) können Sie ab September 2019 im europäischen Onlinehandel nicht mehr mit Ihrer Kreditkarte einkaufen.
      Dies hat folgenden Grund: Der Gesetzgeber erwartet, dass bei Zahlungen im Internet (u.a. mit Kreditkarte) die Identität des Bezahlenden geprüft und zweifelsfrei sichergestellt wird. Dies soll über eine sogenannte „starke Kundenauthentifizierung“ erfolgen, die über eine Kombination von mindestens zwei der drei Faktoren „Dinge, die nur der Karteninhaber weiß“ (Wissen), „Dinge, die nur der Karteninhaber besitzt“ (Besitz) und „Dinge, die dem Karteninhaber zu eigen sind“ (wie z.B. Fingerabdruck – Inhärenz) höchstmögliche Gewissheit gewährleistet. Eine Kundenauthentifizierung über die App entspricht diesen Anforderungen insofern, als nur Sie über den Fingerabdruck verfügen (Inhärenz) bzw. nur Sie als Karteninhaber die PIN kennen (Wissen), mit denen Sie Zahlungsbestätigungen zusätzlich absichern, und die App zur Bestätigung Ihrer Identität sich auf Ihrem Smartphone befindet (Besitz). Der Faktor „PIN“ kann je nach Gerät auch durch ein biometrisches Merkmal ersetzt werden (Touch-ID/ Fingerprint oder Face-ID).

  1. Kennt diese Kommission eigentlich die Schwierigkeiten beim Handyempfang in Deutschland? Ich wohne in einem sogenanten Funkloch und habe damit dauernd zu kämpfen! Wenn Handwerker kommen und ich ihnen sage, das sie mit ihrem Handy ca. 50 m weit auf einen Wendehammer gehenmüssen, bis sie Empfang haben, fangen sie erstmal zu lachen an! Aber das Lachen vergeht ihnen schnell, vor allem wenn mal das Wetter so ist wie es oft vorkommt, es regnet!! Danach sind sie still weil ihnen das Lachen vergangen ist! Geht also dieses tolle Sicherheitsverfahren auch übers Telefon oder ist es normal, das man für Bankgeschäfte sich außer Haus begeben muss?

    • Hallo Herr Rievers,

      vielen Dank für Ihre Nachricht. Ursächlich für die Umstellung des Verfahrens ist eine Anforderung der Bundesanstalt für Finanzdienstaufsicht (BaFin). Das gewählte Verfahren erfüllt die Mindestanforderungen für die Sicherheit von Internetzahlungen („2-Faktor-Authentifizierung“). Weitere Informationen hierüber erhalten Sie unter http://www.bafin.de.

      Das S-ID-Check Verfahren bietet unserer Ansicht nach eine langfristig tragfähige und sichere Lösung, die die gesetzlichen Anforderungen erfüllt. Bitte haben Sie Verständnis für diese Maßnahmen, die letztendlich auch zu Ihrem Schutz und zur Umsetzung gesetzlicher Vorgaben nötig sind. Leider können wir Ihnen zu unserem aktuellen Sicherheitsverfahren „Sicheres Bezahlen im Internet“ keine Alternative anbieten. Die Registrierung ist nur via Smartphone oder Tablet möglich, da alle anderen Verfahren (z.B. SMS) nicht als sicher genug angesehen werden.

  2. Es gibt auch noch andere Verfahren, die den Mindestanforderungen an die Sicherheit
    genügen. Das beim Online-Banking verfügbare HBCI-Verfahren bietet ebenfalls
    eine „2-Faktor-Authentifizierung“.
    Warum ist es nicht möglich, ein entsprechendes Verfahren auch für die Kreditkarte
    bereit zu stellen?

    • Hallo Herr Dr. Rathlev,

      ja, grundsätzlich können mehrerer verschiedene Produkte entwickelt werden, die der „2-Faktor-Authentifizierung“ entsprechen.
      Das Online-Banking fällt auch unter die Richtlinie – das ist korrekt. Hier kann bereits ein vorhandenes Produkte (HBCI) genutzt werden, da es die Richtlinie bereits erfüllt.
      Die App S-ID-Check wird von unserem Kreditkartenprozessor als alleiniges Produkt zur Sicherstellung der Richtlinie angeboten. Der Prozessor möchte den Einkauf so einfach wie möglich und von überall aus möglich machen, sodass er sich für eine App entschieden hat.
      Nach Rückfragen wird zum aktuellen Zeitpunkt an keiner Alternative zur App gearbeitet.

  3. Ich finde es nicht in Ordnung, dass dadurch allen Kunden, die kein Smartphone besitzen, diese Zahlungsmöglichkeit verwehrt wird. Meiner Meinung nach ist es Aufgabe der Sparkassen, hier auch eine alternative Methode anzubieten.

  4. Guten Tag,
    ich kann mich den Kommentaren nur anschliessen. Ich wünsche mir eine Lösung für PC/Laptop-Nutzer. Oder sollen die restlichen Nicht-Smartphone-Nutzer dazu gezwungen werden, sich eins zuzulegen?

    • Hallo Frau Labes,

      bitte entschuldigen Sie die verspätete Antwort.
      Fakt ist, dass Sie als Kundin ohne mobiles Endgerät ab dem 14.09.2019 online keine Zahlungen mehr durchführen können.
      In der Vorbereitung auf die im September 2019 greifende Regelung haben wir uns nach einer eingehenden Abwägung ganz bewusst für den Weg einer Smartphone App entschieden.
      Dies geschah mit dem Blick darauf, unseren Kunden ein sicheres Zahlverfahren anbieten zu können, das langfristig nutzbar bleibt, auch wenn sich die Sicherheitsverfahren über Jahre weiterentwickeln. Das ist über eine Smartphone App gewährleistet, die flexibel „upgedatet“ werden kann. Daneben gibt es einen Trend, Funktionen zur Nutzung der Karte über Apps zur Verfügung zu stellen.
      Aktuell prüfen wir mögliche Alternativen. Ein mögliches Ergebnis könnte allerdings auch sein, dass wir keine Alternative anbieten können. Im Hinblick auf die Komplexität dieses Themas können wir heute schon sagen, dass eine mögliche Alternative nicht mehr in 2019 realisiert werden kann.

      Bezüglich der uns zur Verfügung stehenden Ausnahmen der RTS werden wir diese auch alle nutzen. Für Sie als Kundin bedeutet dies dennoch, dass Sie sich als Karteninhaberin trotz allem 1x über den S-ID-Check stark authentifizieren müssen, bevor Sie die Ausnahmen nutzen können (z.B. wiederkehrende Zahlung/Abo, Whitelisting).

      Auch von anderen Instituten erhalten wir derzeit die Rückmeldung, dass Karteninhaber kündigen und zu Wettbewerbern abwandern wollen. Dies löst das Problem aber leider auch nur bedingt. Bei S-ID-Check handelt es sich um eine Vorgabe der EU, weshalb auch alle anderen Kreditinstitute dazu verpflichtet sind, die starke Kundenauthentifizierung umzusetzen. Auch große Direktbanken, die sich zunächst für eine Umsetzung per SMS entschieden haben, rudern bereits zurück, da dieser Weg der Kundenauthentifizierung nicht sicher genug ist.

  5. Hallo,

    ich habe ein Smartphone aber kann die App nicht laden. Im Verzeichnis ist der Name „s-id-check“ unbekannt.
    Wo finde ich diese App? Ich wollte die Registrierung durchführen.

  6. Ich kann mich nur den Bemerkungen von Dr. J. Rathlev anchließen:

    Mit dem Killerargument „höhere Sicherheit“ (europäische Vorgaben!?!) werden uns kostenpflichtige Technologien aufgezwungen. Ich meine, hinter allen Vorhaben (dazu gehört auch das TAN-Generatorverfahren) verbirgt sich eine riesige Geldmaschinerie, mit der Geldinstitute, Computer-Unternehmen und Politiker mit hübschen Erträgen profitieren.

    • Hallo Herr Drinkewitz,

      die App S-ID-Check ist kostenfrei und birgt zudem keine versteckten Kosten durch In-App-Käufe o.Ä.
      Durch die App selbst generieren wir ebenfalls keinen Profit für uns. Wir stellen sie lediglich zur Verfügung, um dem vom Gesetzgeber vorgegebenen Sicherheitsstandard für den europäischen Onlinehandel (Starke Kundenauthetifizierung) gerecht zu werden. Dieser wird im Rahmen der sogenannten Payment Services Directive-Europäische Zahlungsdiensterichtlinie („PSD 2“) umgesetzt und tritt ab September 2019 verpflichtend in Kraft. Weitere Informationen zu PSD 2 finden Sie hier: https://blog.foerde-sparkasse.de/ihr-geld/psd2/

      Antworten auf die häufigsten Fragen rund um den S-ID-Check und die gesetzlichen Änderungen erfahren Sie hier: https://www.s-id-check.de/s-id-check-faq.html
      Für weitere Fragen steht Ihnen auch Ihr Berater gern zur Verfügung.

  7. Mit der Einführung des S-ID Verfahren der Förde Sparkasse über die „S-ID Check App“ fällt die Mastercard für mich als Zahlungsmittel komplett aus.
    Gründe:
    • Zahlungsverkehr auf Smartphone unter Android unsicher, da nach 2-3 Jahren keine aktuellen Sicherheitsupdates mehr verfügbar.
    • „S-ID Check App“: scheint wirklich toll zu funktionieren, wenn man sich die Bewertungen im Google Play Store ansieht: 2 von 5 Sternen (Stand 29.08.19). Ist das eine „Candy-Crush-Dödel-Spiel-App“ für Kinder?
    • Es wird kein alternatives Verfahren durch die Förde Sparkasse angeboten. Warum nicht Chip TAN wie beim Girokonto?
    Fazit: sehr unzufriedener Kunde, der sich nach Alternativen zur Förde Sparkasse umsehen wird.

    • Hallo Herr Plauk,

      Ihre Kritik nehmen wir sehr ernst und möchten deshalb auf Ihre genannten Gründe eingehen:

      Zu Punkt 1: Es gibt einige Hersteller (Samsung), die tatsächlich nur für 2-3 Jahre Sicherheitsupdates zur Verfügung stellen.
      Andere Hersteller agieren hier anders. Diese Problematik bezieht sich aber auf jegliche Ebenen im Rahmen der Smartphone-Nutzung (Einloggen in Social-Media, GPS-Daten, Kontaktdaten, Whatsapp etc.).

      Zu Punkt 2: Bezüglich den Bewertungen sind wir bereits auf PLUSCARD zugegangen. Bei Sichtung der Kommentare merkt man, dass es Kunden sind, die mit der Einrichtung alleine gelassen wurden. Wir nehmen uns für jeden Kunden die Zeit, um die App gemeinsam einzurichten.

      Zu Punkt 3: Die gesetzlichen Rahmenbedingungen (PSD 2) lassen uns aktuell keine andere Möglichkeit. Hier folgen wir immer den Empfehlungen und Expertisen von Behörden: Das Bundesamt für Sicherheit und Informatik rät von der mTAN klar ab. Aus diesem Grund haben wir uns von Beginn gegen eine Verknüpfung zwischen dem S-ID-Check und dem mTAN-Verfahren ausgesprochen (https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/SoFunktioniertDasOnlineBanking/Sicherheit/mTAN-Verfahren.html).

      Für weitere Fragen rund um den S-Id-Check und PSD 2 steht Ihnen auch Ihr Berater/Ihre Beraterin gern zur Verfügung. Wir hoffen, Sie auch weiterhin als Kunde in unserem Hause begrüßen zu dürfen.

  8. Ich kenne viele ältere Mitbürger die sich jetzt überlegen ihre Karte abzugeben. Was soll jemand machen, der kein Smartphone, keine Tablet hat? Ich persönlich auch nicht. Warum wird sowas nicht auch für Leute angeboten die nur einen Computer besitzen? Desktop-PC Fuktion! Ich bin auch bei der Sparkasse in Hannover und werde, wenn ich naher Zukunft dort nichts passiert, wohl meine Visa Karte wieder abgeben.

  9. Habe eine Beschwerde/Petition bei der EU-Kommission wegen Benachteiligung von Nicht-Smartphone-Besitzern bei Zahlungen über Internet eingereicht. Ist scheinbar noch nicht veröffentlicht, wurde mir aber per Brief bestätigt. Wer sich auch beachteiligt fühlt, sollte das auch tun.

  10. Ist es in der Zwischenzeit möglich, die Kreditkarte zu aktivieren, auch wenn man kein Handy oder ähnliches besitzt. Auch am PC sollte das möglich sein. Ich empfinde das ernsthaft als Diktatur.

    • Bisher gibt es noch keine Alternative zur Nutzung des Smartphones für die starke Kundenauthentifizierung. Sobald sich daran etwas ändern sollte, werden wir dazu ungehend auf allen Kanälen informieren.

  11. Hallo,
    ich kann nicht mit der Kreditkarte/Standard/ einen Flug bei Wizz Air buchen!!!!, werde am PC abgewiesen. Nur mit dem Handy, es ist MIST. Ich habe mir meine karte schon zwei mal gesperrt!!!.

    • Hallo Herr Wieczorek,
      bitte wenden Sie sich direkt an Ihre Beraterin oder Ihren Berater. Diese/r kann Ihnen weiterhelfen.

  12. Sehr geehrte Damen und Herren, ich habe meine Förde Sparkassenkreditkarte bei S-id-check registriert, habe alle pushnachrichten zugelassen und es funktioniert nicht, dass mir die App eine Nachricht zukommen lässt, die ich bestätigen kann. Was kann ich tun?

    Mit verärgerten Grüßen Ruth Rautenberg

    • Hallo Frau Rautenberg,
      es tut uns leid, dass bei Ihrer Registrierung scheinbar etwas schief gelaufen ist. Bitte wenden Sie sich direkt an Ihre Beraterin oder Ihren Berater. Diese/r hilft Ihnen gern bei der Lösung des Problems.

  13. Entschuldigung, aber einige der Kommentare hier (vor allem von Ehemaliger Kunde) sind wirklich nicht menschenwürdig! Verärgerung kann ich gut verstehen aber was dort steht, geht gar nicht…

  14. Das ist doch Unsinn! Es ist keineswegs eine EU-Anordnung, daß Online-Kartenzahlungen künftig nur noch über S-ID-Check per App möglich wären. Das ist ein Bär, den Sparkasse ihren Kunden hier aufbinden möchte, um ihr Produkt mit dieser agressiven Panikmache an den Kunden zu bringen.

    Selbstverständlich kann man immer noch (Jan. 2021) ohne Smartphone und Apps online mit Kreditkarte bezahlen. Ich habe Karten der Commerzbank und der Netbank und bekomme die zur Identifizierung nötige TAN per SMS aufs Handy geschickt, gebe sie am PC Bildschirm in die POP-up-Maske ein und gut ist.

    Ein Prepaid-Tastenhandy gibt es übrigens schon ab 20 Euro und hält Jahre, ist also in Anschaffung und Pflege deutlich günstiger als ein affenteures Smartphone mit seinem Rattenschwanz an Folgekosten und weil ohne Internet-Anbindung auch sicher. So sicher kann ein Smartphone gar nicht werden und wenn man sich noch so viele Tricks ausdenkt. DAZU sollte man seinen Kunden raten, so wird ein Schuh draus, vor allem, wenn man eine Bank ist, deren Zielgruppe seit jeher der Kleinsparer von nebenan ist.

    Für meine über 80-jährigen Eltern, übrigens seit über 50 Jahren Sparkassen-Kunden, muß allerdings ich jetzt alle online-Einkäufe, wo nicht per klassischer Überweisung gezahlt werden kann, erledigen – diese Entwicklung finde ich doch sehr bedenklich. Geht in die Richtung „über 50-jährige kann man ruhig vom Leben ausschließen, die sterben ja eh bad“.

    Die Welt besteht aber nicht nur aus Jugendlichen! Die, die das Geld haben, sind meistens alt! Darüber sollten sich Geldinstitute eigentlich klar sein.

    • Auch wenn die aktuell von unserem Haus angebotene Lösung ausschließlich aus der S-ID Check Lösung mittels Smartphone besteht, sind wir mit unseren Dienstleistern derzeit in Gesprächen, das Angebot einer Alternativlösung weiter zu prüfen. Eine Lösung mittels TAN, welche über ein Handy/Smartphone übermittelt wird, bewerten wir gem. der gesetzlichen Vorgaben weiterhin als nicht ausreichend. Insofern können wir Ihnen heute leider noch keine Alternativlösung zum S-ID Check für die von uns ausgegebenen Kreditkarten präsentieren. Wir möchten Ihnen aber versichern, dass wir die geschilderte Problematik ernst nehmen und zusammen mit unseren technischen Dienstleistern und den Kartengesellschaften (Mastercard / VISA) weiter thematisieren – mit dem Ziel, eine zusätzliche Lösung anbieten zu können. Sobald es einen konkreten Termin zu einem möglichen Angebot gibt, werden wir Sie auf unseren bekannten Kommunikationswegen umfassend darüber informieren.

  15. @Förde Sparkasse

    Vorweg ein großes Lob für Ihre sehr nette & ausführliche Beantwortung der Kundenfragen hier im Blog.

    Sie sind der Ansicht, daß „S-ID-Check“ via Smartphone sicherer sei als der mTAN-Empfang per SMS auf ein „normales“ Handy.
    Nun, ich denke, es ist genau umgekehrt, was ich anhand zuvor nicht erwähnter Aspekte aufzeigen möchte.
    Sie zitieren oben Richtlinien des BSI, das aber bezügl. der Risikien des mTAN-Verfahrens nicht genau differenziert zw. „Online-Banking“ und „Online-Käufen“.
    Wie in Beiträgen oben erwähnt, soll es nur um letzteres gehen, also das einfache u. sichere Bezahlen im Web mit bestehender Kreditkarte + Handy.

    Die sichere Nutzung Ihrer „S-ID-Check-App“ setzt voraus, daß das Smartphone (Tablet) ebenfalls sicher betrieben wird, wobei man sich mal ein paar Punkte vor Augen führen sollte:

    * ein neu gekauftes Smartphone mit vorinstallierten Apps u. Herstellereinstellungen ist offen wie ein Scheunentor für Datenmißbrauch.
    überflüssige (Schüffel)-Apps sollten daher deinstalliert werden, Zugriffsrechte eingeschränkt usw., alles mit viel Konfigurationsaufwand verbunden

    * zwingend erforderlich sind ständige, zeitnahe Updates des OS (Android) sowie ALLER installierten Apps

    * ständiges Nachkonfigurieren von OS u. Apps, wenn neue Updates Konflikte verursachen oder zuvor gesetzte Sicherheits-Einstellungen verändert haben

    * install einer zuverlässigen AntiViren-App (mit weiterer nerviger Updaterei…)

    Moderne Smartphones haben längst die Komplexität eines Heimrechners erreicht.
    Selbst die „sicherste“ Bank-App nutzt nichts, wenn nicht auch die gesamte Systemumgebung fortlaufend auf hohem Sicherheitsniveau betrieben wird, was Zeit, Mühe u. Fachkenntnisse erfordert.
    Mit dutzenden, oft nachlässig programmierten Apps, steigt auch das Risiko von Sicherheitslücken, über die Angreifer den gesamten Datenverkehr (unbemerkt) abgreifen können.
    Ihre „S-ID-Check-App“ selbst muß dabei gar nicht das primäre Angriffsziel sein: sind verknüpfte Dienste oder gar das ganze Smartphone kompromittiert, ist auch die App nicht mehr sicher.
    Aus unzähligen Forenbeiträgen u. ständigen Security-Alerts (u.a. heise.de) lässt sich ableiten, daß die meisten mobilen Endgeräte für den Zahlungsverkehr nicht sicher genug betrieben werden, teils auch nicht können, weil Hersteller wichtige Security-Patches zu spät bereitstellen.
    Zudem, möchten Sie Ihren „ü60-Kunden“ (u. nicht nur die !) zumuten, sich durch die ganzen BSI-Leitfäden u. Sicherheitsanleitungen durchzuhangeln, zu verstehen, um zu wissen, was man wie wo alles einstellen muß ?

    Das ganze entfällt bei der Nutzung eines einfachen Handys ohne Smart- und Internetfunktionalität.
    Hier muß nichts „geupdated“ oder installiert werden, was technisch bedingt auch gar nicht ginge. Und was nicht vorhanden ist, kann auch nicht infiziert werden.

    Die Zwei-Faktor-Authentifizierung ist sinnvoll u. kann konform der EU-Richtlinien sicher umgesetzt werden:

    1) die für jeden Kauf neu generierte TAN wird per SMS auf’s Handy geschickt, dann am PC (Browser) auf der Shop-Seite zur Transaktionsbestätigung eingetippt
    (PC + Handy = zwei physisch getrennte Endgeräte)

    2) die erzeugte SMS-TAN bezieht sich auf eine einmalige, bestimmte Transaktion, bei der Empfänger (Shop) + Geldbetrag vorher feststehen.
    sollte ein Betrüger die SMS „abfangen“ u. manipulieren, müsste er sich zeitgleich in die Shopseite einhacken, um dort Empfänger + Betrag zu ändern.
    diese Änderung würde jedoch dem Authentifizierungs-Server der Bank auffallen, der daraufhin wieder eine neue TAN generiert usw..
    (zudem sollten dem Käufer, der ja vor dem Rechner sitzt, solche Unstimmigkeiten auch gleich auffallen)

    3) Zusätzlich ist auf dem Server der Kreditkartenbank eine Sicherheitsfrage mit individueller Antwort (Passwort) des Kunden verschlüsselt abgelegt.
    Beim Online-Kauf gibt der Kunde neben TAN-Nr. auch dieses Passwort ein („Wissen“), das sogleich mit dem Bankserver abgeglichen wird.
    ERST wenn hier die Übereinstimmung erfolgt, wird die Transaktion seitens der Bank freigegeben.

    Bitte erklären Sie mir, Ihren Kartenkunden und interessierten Mitlesern, was daran nicht sicher ist ??

    Ich bedanke mich erstmal für’s Lesen und würde mich freuen, zumindest einen „Denkanstoß“ gegeben zu haben.

    • Vielen Dank für Ihren Hinweis. Sie haben Recht, Smartphones werden immer vielseitiger und haben mittlerweile die Komplexität eines Rechners erreicht – teilweise sogar übertroffen. Nichtsdestotrotz versuchen wir, für unsere Kunden das Verfahren so einfach zu stricken, wie es eben geht. Gleichzeitig muss es aber auf jeden Fall sicher sein. Das SMS-Tan-Verfahren ist jedoch nicht mehr sicher, dazu sind sich Lizenz- und Gesetzgeber einig (PSD2). Nicht umsonst wurde es schließlich auch für das Online-Banking stillgelegt.
      Der Grund, warum es an sich unsicher ist, war bereits lange Thema für Diskussionen im Internet. Für Betrüger ist es einfach an die Daten zu kommen und somit die TAN einzusehen. Selbst wenn der Kunde merkt, dass etwas faul ist, ist es schon zu spät und die Umsätze wurden getätigt.
      Uns ist bewusst, dass viele Kunden Einschränkungen erleben und selbst wenn der Gesetzgeber keine Alternative vorsieht, sind wir bemüht, eine sichere Variante auf die Beine zu stellen.

      • @Förde Sparkasse
        Danke für Ihre Antwort.
        Die PSD2-Richtlinie gibt sowohl den Kreditkarteninstituten als auch kartenausgebenden Banken einen gewissen Spielraum bei der technischen Umsetzung des 2FA-Verfahrens.
        So bieten viele Banken, auch Sparkassen, neben der App weiterhin die TAN-per-SMS auf’s Handy an (für Online-Käufe, nicht Online-Banking).
        Wäre dieses Authentifizierungsverfahren, das zusätzlich noch eine Passwortabfrage verlangt, unsicher oder nicht gesetzeskonform, würden es die Institute wohl kaum anbieten.
        Sie können das App-Verfahren gerne als „alternativlos“ darstellen, in der Tat ist es das aber nicht.
        Wenn (ältere) Kunden, die gut mit ihrem Handy zurechtkommen, nun per App gezwungen werden, sich regelmäßig (!) ein neues Smartphone zu kaufen, erachte ich das schon als sehr drastischen Eingriff in die private Lebensführung.
        Wie oben erwähnt „die Jungen haben ein Smartphone und die Älteren das Geld“, werden Handy-Nutzer wie ich eben zu einer Bank wechseln, die bei Kreditkartenkäufen kundenfreundlichere Lösungen ohne Zwangs-App anbietet.

  16. Liebe Deutsche Sparkassen ( und hier sind ALLE deutschen gemeint), liebe Entwickler bei Pluscard,
    ich kann mich Herrn Dr. Schulz nur anschliesen: Es ist mitnichten eine EU-Richtlinie, sondern monetäres Interesse, welches hinter der fragwürdigen App-Lösung steckt. Vor Jahren war es sogar verboten, Banking-App und Authentifizierung über ein einziges Endgerät laufen zu lassen. Heute soll diese Aussage komplett falsch sein?
    Nach Rücksprache mit Pluscard scheint es mir doch eher die Unwilligkeit zu sein, neben dem Android/iOS-Massenmarkt auch noch Nutzer sog. Featurephones oder solche mit (deutlich sicheren) alternativen Betriebsystemen oder Kunden ganz ohne Mobilphone zu bedienen. Das kostet nämlich genau so viel je Version, aber deutlich mehr pro Nutzer. Und Softwarelizenzen werden nun mal nach Nutzern gezahlt…
    Die ökologisch unsinnige Lösung, auf Geräte zu setzen, die vom Hersteller gerade mal bis zum Ablauf der gesetzl. Garantie unterstützt werden ist leider Mainstream aber wenig Kundenfreundlich.
    So werde auch ich als relativ junger Kunde meine Pluscard bei der Sparkasse zurückgeben, ebenso andere Familienmitglieder, weil z.B. die in etlichen Posts bereits geforderte und gesetzlich zulässige Möglichkeit einer PC-App (z.b einer zeitgemäßen Win-Universal-App) nicht mal angedacht ist, da dies ja im Gegensatz zu schnell zusammengehauenen Androidapps aus dem Baukasten echte Entwicklungsarbeit kosten würde…
    Schade, dass hier die Sparkassen auf so einen schlecht supportenden Dienstleister wie Pluscard setzen, denn beim eigenen Banking gehörten sie zu den Vorreitern (auch wenn die Bankingsoftware von Starmoney nicht gerade fehlerfrei läuft. Aber hier lässt die SPK ja die Nutzung alternativer Produkte zu).
    Ich werde jedenfalls die neue Kreditcard von der nutzbaren Software abhängug machen, auch wenn ich damit ggf. meiner langjährigen Hausbank den Rücken kehren muss.

    .

KOMMENTAR SCHREIBEN (Ihre E-Mail-Adresse wird nicht veröffentlicht.)

Please enter your comment!
Please enter your name here